2. Mikä on EU:n asetus?
Euroopan unionin asetus on EU:n vahvin lainsäädäntöväline:
Asetus tulee sellaisenaan voimaan kaikissa Unionin jäsenmaissa heti kun se on
julkaistu EU:n virallisessa lehdessä
GDPR hyväksyttiin 14.4.2016 ja astuu voimaan 25.5.2018
Asetus kumoaa sen kanssa ristiriidassa olevat kansalliset lait
Asetuksen kanssa ristiriitaisia lakeja ei saa säätää
Toisin kuin Euroopan Unionin direktiivi, asetusta ei voi sovittaa
osaksi jäsenmaiden omaa lainsäädäntöä
GDPR on siis sitova ja tulee heti voimaan sellaisenaan ilman
kansallista soveltamista
Siirtymäaikaa on ollut kaksi vuotta, ei tule yllätyksenä kenellekään
17.11.2017 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 2
3. Mikä on EU:n yleinen tietosuoja-asetus?
GDPR (General Data Protection Regulation)
Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten
henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta
liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus)
Säätelee kaikkea henkilötietojen käsittelyä EU:n jäsenvaltioissa
ei koske luonnollisen henkilön henkilökohtaista henkilötietojen käsittelyä, joka ei
liity ammatilliseen tai kaupalliseen toimintaan
ei koske kansallista turvallisuutta koskevaa henkilötietojen käsittelyä
Tavoitteena parantaa luottamusta sähköisiin palveluihin ja
edistää EU:n digitaalista sisämarkkinoiden kehittämistä.
Tavoitteena varmistaa ihmisten omien henkilötietojen suojaa
Monet asetuksen velvoitteet sisältyvät jo nyt henkilötietolakiin
4. Miksi EU tarttunut tietoturvassa asetus-lekaan?
17.11.2017 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 4
5. Mikä on henkilötieto?
GDPR:n henkilötiedon määritelmä vanhaa henkilötietolakia
täsmällisempi
Henkilötiedolla tarkoitetaan kaikkia tunnistettuun tai
tunnistettavissa olevaan henkilöön liittyviä tietoja
Tunnistettavissa olevan henkilön henkilöllisyys voidaan suoraan tai epäsuorasti
tunnistaa tietojen perusteella (esim. sijaintitiedot, teletunnisteet, geenitiedot,
valokuvat, potilastiedot, …)
Kansallinen tietosuojaviranomainen on toimivaltainen
rekisterinpitäjän päätoimipaikan perusteella
Kansallisten tietosuojaviranomaisten yhteistyötä varten ns. yhdenmukaisuus-
mekanismi (Euroopan tietosuojaneuvosto EDPB) ja yhden luukun mekanismi.
Euroopan tietosuojaneuvosto voi antaa sitovia päätöksiä tietosuoja-asetuksen
soveltamisesta
17.11.2017 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 5
6. Henkilötietojen käsittelyn rajat
Henkilötietojen kerääminen on sidonnainen käyttötarkoitukseen
Kerättyä tietoa ei saa käyttää myöhemmin tarkoitukseen, jolla ei ole
sidonnaisuutta niiden alkuperäiseen käyttötarkoitukseen.
Henkilötietoja saa käsitellä vain kun
Rekisteröity henkilö on antanut suostumuksensa henkilötietojensa käsittelyyn
tiettyä tarkoitusta varten tai se perustuu rekisteröidyn kanssa tehtyyn
sopimukseen
välttämätöntä rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi
tarpeen rekisterinpitäjän lakisääteisen velvoitteen suorittamiseksi tai julkisen
vallan käyttämiseksi tai yleistä etua koskevan tehtävän suorittamiseksi
tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen
toteuttamiseksi (rekisteröidyn edut, perusoikeudet ja –vapaudet huomioiden)
17.11.2017 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 6
7. Lisää rajoja
Henkilötiedot, joita ei saa käsitellä ilman eri perustetta
Rotu tai etninen alkuperä, poliittiset mielipiteet, uskonnollinen tai filosofinen
vakaumus, ammattiliiton jäsenyys, seksuaalinen käyttäytyminen ja suuntautuminen
Geneettiset tai biometriset tiedot, joista henkilö voidaan tunnistaa
Terveyttä koskevat tiedot
Henkilötietoja voi siirtää ETA-alueen ulkopuolelle vain
asetuksessa vahvistetuin edellytyksin
Siirrot Yhdysvaltoihin erillisen tietosuojasopimuksen eli ns. Privacy Shield -
sopimuksen turvin.
17.11.2017 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 7
8. Rekisteröidyn henkilön oikeudet
Tiedonsaantioikeus omista henkilötiedoista
Rekisteröidyllä oltava pyynnöstä pääsy hänestä kerättyihin tietoihin
Tiedot sähköisesti käsitellyistä henkilötiedoista on toimitettava jäsennellyssä,
yleisesti käytetyssä ja koneellisesti luettavassa muodossa
Tiedonsaantioikeus omien henkilötietojen käsittelystä
Tiedonsaantioikeus koskee myös henkilötietojen käsittelyä (helppotajuisesti ja
läpinäkyvästi, kuka käsitellyt, mitä tietoja, milloin, …)
Rekisterinpitäjän on myös pyynnöstä ilmoitettava, keille tietoja on luovutettu.
Oikeus saada itseään koskevat tiedot oikaistua
Oikeus siirtää itseään koskevat tiedot toiselle rekisterinpitäjälle
Rekisterinpitäjä ei saa estää keräämiensä henkilötietojen siirtämistä esimerkiksi
kilpailijansa rekisteriin
17.11.2017 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 8
9. Lisää oikeuksia
Oikeus tietojenkäsittelyn vastustamiseen
Esimerkiksi suoramarkkinointiin tai profilointiin
Oikeus saada tieto omia tietoja koskevista tietoturvaloukkauksista
Oikeus tulla unohdetuksi
Omien henkilötietojen käyttökielto
Omien henkilötietojen tuhoaminen rekisteristä
Oikeus vahingonkorvauksiin
Henkilöllä, jolle on aiheutunut tietosuoja-asetuksen rikkomisen vuoksi vahinkoa,
on oikeus saada rekisterinpitäjältä täysi korvaus vahingosta
17.11.2017 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 9
10. Rekisterinpitäjän velvollisuudet
Henkilötietoja käsittelyssä on varmistettava tietojen turvallisuus,
eheys ja luottamuksellisuus
Tiedot tulee suojata luvattomalta ja lainvastaiselta käsittelyltä
Tiedot tulee suojata vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai
vahingoittumiselta
Rekisterinpitäjällä todistustaakka ja näyttövelvollisuus tietosuoja-
asetuksen velvoitteiden noudattamisesta
Pelkkä lain passiivinen noudattaminen ei enää riitä
Ilmoitusvelvollisuus tietoturvaloukkauksista sekä tietosuoja-
viranomaiselle että kohteeksi joutuneille rekisteröidyille
Tiedonantovelvollisuus rekisteröidyistä kerätyistä tiedoista ja
niiden käsittelystä sekä tietojen luovutuksista
17.11.2017 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 10
11. Lisää velvollisuuksia
Tietosuojavastaavien asettaminen
Kaikki viranomaisten ja julkishallinnon elimet (ei tuomioistuimet)
Yksityiset yhteisöt, joiden tehtäviin kuuluu laajamittaista henkilötietojen käsittelyä
Selosteen ylläpito henkilötietojen käsittelystä
Ei, jos alle 250 työntekijää, paitsi jos käsittely voi aiheuttaa riskin rekisteröidyn
oikeuksille ja vapauksille, käsittely ei ole satunnaista tai käsitellään on erityisen
arkaluonteisia tietoja.
Tietosuojaa koskevan vaikutusten arvioinnin laatiminen
Jos henkilötietojen käsittelyyn kohdistuu todennäköinen korkea riski
17.11.2017 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 11
12. Sanktiot
Rekisterinpitäjä ja henkilötietojen käsittelijä voidaan määrätä
maksamaan hallinnollisia sakkoja tietosuoja-asetuksen
rikkomisesta
Hallinnollinen sakko voi olla enintään 20 000 000 € tai 4% yrityksen edeltävän
tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan,
kumpi näistä määristä on suurempi.
17.11.2017 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 12
13. Haasteita
Datan toissijainen käyttö
Tietosuoja-asetus kieltää henkilötietojen käytön muuhun, kuin mihin ne on kerätty.
Julkishallinnon rekistereitä haluttaisiin hyödyntää tutkimuksessa ja alustatalouden
palveluiden kehityksessä
Käyttöehtosopimukset eli EULAt
Tietosuoja-asetuksen ehdot huomioidaan sähköisten palveluiden käyttöehdoissa,
mutta käyttöehtoja ei lueta eikä niiden tekstiä ymmärretä
Suomalaisten rekisterinpitäjien hidas herääminen
Suuri osa henkilörekistereitä pitävistä julkisista ja yksityisistä yhteisöistä on
hukanneet kahden vuoden valmistautumisaikansa
Odotettavissa ainakin näyttövelvollisuuden laiminlyöntejä ja mahdollisia
hallinnollisia sakkoja
Työmarkkinoilla jatkuvasti paheneva tietosuojaosaajapula
Huonosti valmistautuneita yhteisöjä rahastetaan
17.11.2017 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 13